Windows 用の人気ゲーム「スーパーマリオ 3: マリオ フォーエバー」のトロイの木馬化したインストーラーが、何も知らないプレイヤーを複数のマルウェアに感染させています。

スーパーマリオ 3: マリオ フォーエバーは、Buziol Games によって開発され、2003 年に Windows プラットフォーム向けにリリースされた古典的な任天堂ゲームの基本プレイ無料のリメイクです。

このゲームは非常に人気となり、何百万ものダウンロードが行われ、古典的なマリオ シリーズのすべてのメカニズムを備えながらも、グラフィックが更新され、スタイルとサウンドが最新化されたことが賞賛されました。

ゲームの開発はさらに 10 年間継続され、バグ修正と改善をもたらした複数の後続バージョンがリリースされました。今日でも、それはポストモダンの古典として残っています。

マリオフォーエバー
スーパーマリオ 3: マリオ フォーエバー(サイクル)

ゲーマーをターゲットにする

Cybleの研究者は、攻撃者が Super Mario 3: Mario Forever インストーラーの修正サンプルを配布し、未知のチャネルを通じて実行可能な自己解凍アーカイブとして配布していることを発見しました。

トロイの木馬化されたゲームは、ゲーム フォーラムやソーシャル メディア グループで宣伝されるか、マルバタイジングやブラック SEO などを通じてユーザーにプッシュされる可能性があります。

アーカイブには 3 つの実行可能ファイルが含まれており、1 つは正規のマリオ ゲーム (「super-mario-forever-v702e.exe」) をインストールするもので、他の 2 つは「java.exe」と「atom.exe」であり、被害者の AppData に密かにインストールされます。ゲームのインストール中のディレクトリ。

被害者のディスクにドロップされたファイル
被害者のディスクにドロップされたファイル(Cyble)

悪意のある実行可能ファイルがディスクに保存されると、インストーラーはそれらを実行して、XMR (Monero) マイナーと SupremeBot マイニング クライアントを実行します。

トロイの木馬化されたインストーラー
トロイの木馬化されたインストーラー(Cyble)

「java.exe」ファイルは、被害者のハードウェアに関する情報を収集し、「gulf[.]moneroocean[.]stream」のマイニング サーバーに接続してマイニングを開始する Monero マイナーです。

SupremeBot (「atom.exe」) は自分自身の複製を作成し、そのコピーをゲームのインストール ディレクトリの隠しフォルダーに置きます。

次に、正規のプロセスの名前の下に隠れて、15 分ごとに無期限に実行されるコピーを実行するスケジュールされたタスクを作成します。

初期プロセスは終了され、元のファイルは検出を回避するために削除されます。次に、マルウェアは C2 接続を確立して情報を送信し、クライアントを登録し、マイニング設定を受信して Monero のマイニングを開始します。

最後に、SupremeBot は C2 から追加のペイロードを取得し、「wime.exe」という名前の実行可能ファイルとして到着します。

完全な感染チェーン
完全な感染チェーン(Cyble)

最後のファイルは、2023 年 4 月から GitHub で利用できるオープンソースの C# 情報スティーラーである Umbral Stealer で、感染した Windows デバイスからデータを盗みます。

この盗まれたデータには、セッション トークン、暗号通貨ウォレット、Discord、Minecraft、Roblox、Telegram の資格情報と認証トークンを含む保存されたパスワードや Cookie など、Web ブラウザーに保存されている情報が含まれます。

Umbral Stealerの機能概要
アンブラル・スティーラーの機能まとめ(Cyble)

Umbral Stealer は、被害者の Windows デスクトップのスクリーンショットを作成したり、接続された Web カメラを使用してメディアをキャプチャしたりすることもできます。盗まれたデータはすべて、C2 サーバーに流出する前にローカルに保存されます。

情報窃取者は、改ざん防止が有効になっていない場合、プログラムを無効にすることで Windows Defender を回避できます。そうでない場合は、そのプロセスを Defender の除外リストに追加します。

さらに、このマルウェアは Windows のホスト ファイルを変更して、一般的なウイルス対策製品と企業サイトとの通信を妨害し、通常の動作と有効性を妨げます。

ホスト IP を 0.0.0.0 に設定する
セキュリティ サイトの IP を 0.0.0.0 に設定する(Cyble)

最近 Super Mario 3: Mario Forever をダウンロードした場合は、コンピュータにインストールされているマルウェアをスキャンし、検出されたマルウェアを削除する必要があります。

マルウェアが検出された場合は、銀行、金融、仮想通貨、電子メール サイトなどの機密性の高いサイトでパスワードをリセットする必要があります。パスワードをリセットする場合は、すべてのサイトで一意のパスワードを使用し、パスワード マネージャーを利用してパスワードを保存してください。

また、ゲームやソフトウェアをダウンロードするときは、発行者の Web サイトや信頼できるデジタル コンテンツ配信プラットフォームなどの公式のソースからダウンロードするようにしてください。

ダウンロードした実行可能ファイルを起動する前に、ウイルス対策ソフトウェアを使用して常にスキャンし、セキュリティ ツールを最新の状態に保ちます。